VRRP
本帮助主要介绍以下内容:
特性简介
在具有组播或广播能力的局域网(如以太网)中,借助VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)能在某台设备出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。
VRRP将可以承担网关功能的一组设备加入到备份组中,形成一台虚拟设备。VRRP通过选举机制决定哪台设备承担转发任务,局域网内的主机只需将虚拟设备配置为默认网关即可。因此,VRRP在提高可靠性的同时,简化了主机的配置。
VRRP备份组
VRRP将局域网内的可以承担网关功能的一组设备划分在一起,组成一个备份组。备份组由一台Master设备和多台Backup设备组成,对外相当于一台虚拟设备。
联动双机热备
简介
如图-1的左图所示,在仅有VRRP的组网环境中,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不是同一台设备,造成流量中断。如图-1的右图所示,将双机热备和VRRP关联,使用双机热备功能管理设备在VRRP备份组中的Master和Backup状态的统一切换,可以解决以上问题。
创建VRRP备份组时,通过把设备加入VRRP active组和VRRP standby组可以实现将VRRP与双机热备进行关联。当RBM的控制通道建立后,VRRP备份组内的设备状态将由双机热备决定,VRRP自身的主备选择机制不再生效;当RBM的控制通道断开后,VRRP自身的主备选择机制将会重新生效。RBM的控制通道建立后,联动双机热备的VRRP备份组优先级将由双机热备决定。此时,Master状态的VRRP备份组优先级为255,Backup状态的VRRP备份组优先级为100。
VRRP active/standby组
VRRP active/standby组分别有两种状态:Master和Backup。VRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master。
VRRP active/standby组初始状态的实现机制如下:
主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup。
双主模式下:此种模式下VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为Master;VRRP standby组的初始状态均为Backup。
VRRP在双机热备环境中Master设备的选举机制
如图-1的右图所示,将双机热备与VRRP成功关联后,VRRP备份组中Master/Backup状态的变化机制如下:
正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device A在VRRP备份组1和VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device B在VRRP备份组1和VRRP备份组2中的状态是Backup设备。
当Device A的下行接口Interface A2故障后,双机热备会收到接口故障事件。然后双机热备发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master。
Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device B在VRRP备份组1和VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。
Device A收到Device B的VRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device A在VRRP备份组1和VRRP备份组2中的状态变更为Backup。
当Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。
备份组的虚拟IP地址
备份组具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟设备的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟设备与外部网络进行通信。
虚拟设备的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个设备的接口IP地址相同。接口IP地址与虚拟IP地址相同的设备被称为IP地址拥有者。
备份组中设备的优先级
VRRP根据优先级来确定备份组中每台设备的角色(Master设备或Backup设备)。优先级越高,则越有可能成为Master设备。
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当设备为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master设备。在同一个VRRP备份组中,只能存在一个IP地址拥有者。
备份组中设备的抢占/非抢占方式
备份组中的设备具有以下两种方式:
抢占方式:在该方式下Backup设备一旦发现自己的优先级比当前Master设备的优先级高,就会触发Master设备的重新选举,并最终取代原有的Master设备。抢占方式可以确保承担转发任务的Master设备始终是备份组中优先级最高的设备。
非抢占方式:在该方式下只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。非抢占方式可以避免频繁地切换Master设备。
在抢占方式下,为了避免备份组内的成员频繁进行主备状态转换,让Backup设备有足够的时间搜集必要的信息(如路由信息),Backup设备接收到优先级低于本地优先级的通告报文后,不会立即抢占成为Master设备,而是等待抢占延迟时间后,才会重新选举新的Master设备。
延迟时间
Backup设备抢占成为Master设备时,需要等待指定延迟时间后,才会抢占为Master设备。0表示立刻抢占为Master设备。
VRRP通告报文发送间隔
VRRP备份组中的Master设备会定时发送VRRP通告报文,通知备份组内的设备自己工作正常。需要注意的是:
建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。
使用VRRPv2版本时,IPv4 VRRP备份组中的所有设备必须配置相同的VRRP通告报文间隔。
使用VRRPv3版本时,VRRP备份组中的设备上配置的VRRP通告报文间隔可以不同。Master设备根据自身配置的报文间隔定时发送通告报文,并在通告报文中携带Master设备上配置的间隔;Backup设备接收到Master设备发送的通告报文后,记录报文中携带的Master设备通告报文间隔,如果在3×记录的间隔+Skew_Time内没有收到Master设备发送的VRRP通告报文,则认为Master设备出现故障,重新选举Master设备。
网络流量过大可能会导致Backup设备在指定时间内没有收到Master设备的VRRP通告报文,从而发生状态转换。可以通过将VRRP通告报文的发送间隔延长的办法来解决该问题。
备份组中设备的认证方式
VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的设备。VRRP提供了三种认证方式:
无认证:发送VRRP报文的设备与接收报文的设备之间不进行报文合法性认证。
简单字符认证:发送VRRP报文的设备将认证字填入到VRRP报文中,而收到VRRP报文的设备会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。
MD5认证:发送VRRP报文的设备利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的设备会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。
VRRP控制VLAN
缺省情况下,在Master的三层以太网子接口上配置模糊VLAN终结后,该接口不支持发送广播和组播报文。为了保证Master可以周期性地向Backup发送VRRP通告报文(组播报文),需要在Master的三层以太网子接口上启用VLAN终结支持广播/组播报文功能。启用该功能后,VRRP通告报文将发送给所有终结的VLAN。三层以太网子接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。
配置VRRP的控制VLAN能够解决上述问题。关闭VLAN终结支持广播/组播功能,并配置VRRP的控制VLAN后,可以使得Master设备仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。
VRRP的控制VLAN分为两种:
控制VLAN:配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN;
内层VLAN:配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN。
vSystem相关说明
非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持对VRRP报文进行认证。
一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的设备需要设置相同的认证方式和认证字。
VRRP负载均衡模式备份组不支持与双机热备关联。
关联双机热备的VRRP备份组中不能存在IP地址拥有者。
配置指南
VRRP基本配置
VRRP基本配置的具体配置步骤如下:
选择“系统 > 高可靠性 > VRRP”。
在“VRRP”页面单击<新建>按钮,进入“新建VRRP备份组”页面。
图-2 新建VRRP备份组
图-3 新建VRRP备份组页面
新建VRRP备份组,具体配置内容如下表所示:
表-1 VRRP备份组配置参数表
参数
说明
备份组所在的接口
VRRP功能基于接口实现,指定VRRP备份组所属的接口
备份组号
VRRP备份组的编号,是其唯一的标识。不同设备上编号相同的备份组形成一个VRRP备份组
类型
支持IPv4和IPv6两种类型
联动双机热备
在双机热备与VRRP配合使用的高可靠性组网中必须配置此功能,使不同VRRP备份组之间进行联动
虚拟IP地址
局域网内的主机使用这个虚拟IP地址作为网关地址与外部网络进行通信
优先级
优先级越高,则越有可能成为Master设备,数值越大优先级越高
抢占模式
支持抢占模式和非抢占模式两种
延迟时间
Backup设备抢占成为Master设备时,需要等待指定延迟时间后,才会抢占为Master设备。0表示立刻抢占为Master设备
通告报文发送间隔
Master设备根据配置的此时间定时发送VRRP通告报文,通知备份组内的路由器自己工作正常。使用VRRPv2版本时,该参数的实际生效值只能是100的整倍数,例如,配置该参数取值在10~100、101~200、4001~4095范围内时,实际生效值分别为100、200、4100;使用VRRPv3版本时,该参数的实际生效值与所配置数值相同
单击<确定>按钮,新建VRRP备份组成功。
VRRP高级配置
VRRP高级配置的具体配置步骤如下:
选择“系统 > 高可靠性 > VRRP高级设置”。
在“VRRP高级设置”页面,单击目标接口右侧的<编辑>按钮,进入“VRRP高级设置”页面。
图-4 编辑接口设置
图-5 VRRP高级设置
在“VRRP高级设置”页面进行配置,具体配置内容如下表所示:
表-2 VRRP高级设置配置参数表
参数
说明
接口
VRRP备份组绑定的接口编号
VRRP版本
VRRP包括VRRPv2和VRRPv3两个版本,VRRPv2版本只支持IPv4 VRRP,VRRPv3版本支持IPv4 VRRP和IPv6 VRRP
IPv4 VRRP备份组中的所有路由器上配置的IPv4 VRRP版本必须一致
控制VLAN
配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN
内层VLAN
配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN
单击<确定>按钮,接口的VRRP高级设置配置成功。